datacom/Datacom-MD/第七章：AAA认证技术&NAT技术.md

AAA认证技术&NAT技术

作者：行癫

---

第一节：AAA认证技术

一：AAA概述

1.AAA基本概念

​ AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能

​ 认证（Authentication）：验证用户是否可以获得访问权，确定哪些用户可以访问网络

​ 授权（Authorization）：授权用户可以使用哪些服务

​ 计费（Accounting）：记录用户使用网络资源的情况

​ 网络运营商（ISP）需要验证家庭宽带用户的账号密码之后才允许其上网，并记录用户的上网时长或上网流量等内容，这就是AAA技术最常见的应用场景

2.AAA常见架构

​ AAA常见网络架构中包括用户、NAS（Network Access Server）、AAA服务器（AAA Server）

​ NAS基于域来对用户进行管理，每个域都可以配置不同的认证、授权和计费方案，用于对该域下的用户进行认证、授权和计费

​ 每个用户都属于某一个域。用户属于哪个域是由用户名中的域名分隔符@后的字符串决定。例如，如果用户名是user1@domain1，则用户属于domain1域。如果用户名后不带有@，则用户属于系统缺省域

3.认证

AAA支持的认证方式有：

​ 不认证

​ 本地认证

​ 远端认证

​ 不认证：完全信任用户，不对用户身份进行合法性检查。鉴于安全考虑，这种认证方式很少被采用

​ 本地认证：将本地用户信息（包括用户名、密码和各种属性）配置在NAS上，此时NAS就是AAA Server。本地认证的优点是处理速度快、运营成本低；缺点是存储信息量受设备硬件条件限制。这种认证方式常用于对用户登录设备进行管理，如Telnet，FTP用户等

​ 远端认证：将用户信息（包括用户名、密码和各种属性）配置在认证服务器上。支持通过RADIUS协议或HWTACACS协议进行远端认证。NAS作为客户端，与RADIUS服务器或HWTACACS服务器进行通信

4.授权

AAA支持的授权方式有：

​ 不授权

​ 本地授权

​ 远端授权

授权信息包括：

​ 所属用户组

​ 所属VLAN

​ ACL编号

​ 不授权：不对用户进行授权处理

​ 本地授权：根据NAS上对应域下的配置进行授权

​ 远端授权：支持由RADIUS服务器授权或HWTACACS服务器授权

​ HWTACACS授权，使用HWTACACS服务器对所有用户授权

​ RADIUS授权，只支持对通过RADIUS服务器认证的用户授权。RADIUS协议的认证和授权是绑定在一起的，不能单独使用RADIUS进行授权

注意：

​ 当采用远端授权时，用户可以同时从授权服务器和NAS获取授权信息。NAS配置的授权信息优先级比授权服务器下发的授权信息低

5.计费

​ 计费功能用于监控授权用户的网络行为和网络资源的使用情况

​ AAA支持的计费方式有：不计费、远端计费

​ 不计费：为用户提供免费上网服务，不产生相关活动日志

​ 远端计费：支持通过RADIUS服务器或HWTACACS服务器进行远端计费

6.AAA实现协议-RADIUS

​ AAA可以用多种协议来实现，最常用的是RADIUS协议。RADIUS是一种分布式的、客户端/服务器结构的信息交互协议，可以实现对用户的认证、计费和授权功能

​ 通常由NAS作为RADIUS客户端，负责传输用户信息到指定的RADIUS服务器，然后根据从服务器返回的信息进行相应处理（如接受/拒绝用户接入）

​ RADIUS服务器一般运行在中心计算机或工作站上，维护相关的用户认证和网络服务访问信息，负责接收用户连接请求并认证用户，然后给客户端返回所有需要的信息（如接受/拒绝认证请求）。RADIUS使用UDP（User Datagram Protocol）作为传输协议，并规定UDP端 口1812、1813分别作为认证、计费端口，具有良好的实时性；同时也支持重传机制和备用服务器机制，从而具有较好的可靠性

RADIUS客户端与服务器间的消息流程如下：

​ 当用户接入网络时，用户发起连接请求，向RADIUS客户端（即NAS）发送用户名和密码

​ RADIUS客户端向RADIUS服务器发送包含用户名和密码信息的认证请求报文

​ RADIUS服务器接收到合法的请求后，完成认证，并把所需的用户授权信息返回给客户端；对于非法的请求，RADIUS服务器返回认证失败的信息给客户端

​ RADIUS客户端通知用户认证是否成功

​ RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入，则RADIUS客户端向RADIUS服务器发送计费开始请求报文

​ RADIUS服务器返回计费开始响应报文，并开始计费

​ 用户开始访问网络资源

​ 当用户不再想要访问网络资源时，用户发起下线请求，请求停止访问网络资源

​ RADIUS客户端向RADIUS服务器提交计费结束请求报文

​ RADIUS服务器返回计费结束响应报文，并停止计费

​ RADIUS客户端通知用户访问结束，用户结束访问网络资源

7.AAA应用场景

二：AAA配置实现

​ authorization-scheme authorization-scheme-name命令用来配置域的授权方案。缺省情况下，域下没有绑定授权方案

​ authentication-mode { hwtacacs | local | radius }命令用来配置当前认证方案使用的认证方式。缺省情况下，认证模式为本地认证方式

1.AAA配置案例

​ 在设备R1上配置用户密码和级别，使主机A可以通过配置的用户名和密码远程登录到设备

配置验证

​ AAA中，每个域都会与相应的认证授权和计费方案相关联，当前为默认域

​ display domain [ name domain-name ]命令用来查看域的配置信息

​ Domain-state为Active表示激活状态

如果用户名后不带有@，则用户属于系统缺省域，华为设备支持两种缺省域：

​ default域为普通用户的缺省域

​ default_admin域为管理用户的缺省域

用户正常登录并且下线之后可以看到用户的记录信息

​ display aaa offline-record命令用来查看系统中用户下线的记录

第二节：网络地址转换

一：NAT概述

1.NAT产生背景

​ 随着互联网用户的增多，IPv4的公有地址资源显得越发匮乏

​ 同时IPv4公有地址资源存在地址分配不均的问题，这导致部分地区的IPv4可用公有地址严重不足

​ 为解决问题，使用过渡技术解决IPv4公有地址短缺就显得尤为重要

2.私有IP地址

​ 公有地址：由专门机构管理、分配，可以在Internet上直接通信的IP地址

​ 私有地址：组织和个人可以任意使用，无法在Internet上直接通信，只能在内网使用的IP地址

​ A、B、C类地址中各预留了一些专门作为私有IP地址

​ A类：10.0.0.0~10.255.255.255

​ B类：172.16.0.0~172.31.255.255

​ C类：192.168.0.0~192.168.255.255

3.NAT技术原理

​ NAT：对IP数据报文中的IP地址进行转换，是一种在现网中被广泛部署的技术，一般部署在网络出口设备，例如防火墙或路由器上

​ 通过私有地址的使用结合NAT技术，可以有效节约公网IP地址

​ 由于私有地址无法在Internet上路由转发，访问Internet的IP数据包将缺乏路由无法到达私有网络出口设备

​ 如果使用了私有地址的私有网络需要访问Internet，必须在网络出口设备配置NAT，将访问Internet的IP数据报文中的私有网络源地址转换成公有网络源地址

二：静态NAT

1.静态NAT技术原理

静态NAT

​ 每个私有地址都有一个与之对应并且固定的公有地址，即私有地址和公有地址之间的关系是一对映射

支持双向互访

​ 私有地址访问Internet经过出口设备NAT转换时，会被转换成对应的公有地址，同时，外部网络访问内部网络时，其报文携带的公有地址也会被NAT设备转换成对应的私有地址

2.静态NAT转换示例

3.静态NAT配置

案例

三：动态NAT

1.动态NAT技术原理

动态NAT

​ 静态NAT严格的一对一进行地址转换，这就导致即便内网主机长时间离线或者不发送数据时，与之前对应的公有地址也处于使用状态，为了避免地址浪费，动态提出了地址池的概念，所有的地址池组成地址池

​ 当内部主机访问外部网络时临时分配一个地址池中未使用的IP地址，并将该地址标记为”In Use”，当该主机不在访问外部网络时回收分配的地址，重新标记为“Not Use”

2.动态地址池示例

3.动态地址池配置

4.动态地址池配置实验

四：NAPT、Easy-IP

1.NAPT技术原理

​ 动态NAT选择地址池中的地址进行地址转换时不会转换端口号，即No-PAT，非端口地址转换，公有地址与私有地址还是1：1的映射关系，无法提高公有地址的利用率

​ NAPT（网络地址端口转换）：从地址此中选择地址进行地址转换时不仅转换IP地址，同时也会对端口号进行转换，从而实现公有地址与私有地址1：n映射，可以有效提高公有地址的利用率

​ NAPT借助端口可以实现一个公有地址同时对应多个私有地址。该模式同时对IP地址和传输层端口进行转换，实现不同私有地址（不同的私有地址，不同的源端口）映射到同一个公有地址（相同的公有地址，不同的源端口）

2.NAPT转换示例

3.NAPT配置实验

4.Easy-IP

​ 实现原理和NAT相同，同时转换IP地址、传输层端口，区别在于Easy-IP没有地址池的概念，使用接口地址作为NAT转换的公有地址

​ 适用于不具备固定公网IP地址的场景，如通过DHCP、PPPoE拨号获取地址的私有网络出口，可以直接使用获取到的动态地址进行转换

​ DHCP：Dynamic Host Configuration Protocol ，动态主机配置协议

​ PPPoE：Point-to-Point Protocol over Ethernet ，以太网承载PPP协议

5.Easy-IP配置

五：NAT Server

1.NAT Server应用场景

​ 指定【公有地址：端口】与【私有地址：端口】的一对一映射关系，将内网服务器映射到公网，当私有网络中的服务器需要对公网提供服务时使用

​ 外网主机主动访问【公有地址：端口】实现对内网服务器的访问

2.NAT Server转换实例

3.NAT Server配置示例